Dalszy ciąg problemów Intela - wykryto osiem nowych luk Spectre (w tym cztery krytyczne) [AKT.]

Wygląda na to, że Intel ma poważne problemy jeżeli chodzi o bezpieczeństwo swoich procesorów. Na początku roku świat obiegła informacja o trzech wariantach luk Meltdown i Spectre, które po pewnym czasie udało się załatać (choć nie we wszystkich przypadkach). To jednak nie koniec komplikacji u niebieskich – właśnie pojawiła się informacja, że badacze odkryli osiem kolejnych luk, z czego cztery są krytyczne i stanowią poważne ryzyko ataku.

Szczegóły na temat luk jeszcze nie zostały upublicznione, ale scenariusze ataków mają przypominać dwie wcześniejsze luki Spectre (dlatego też roboczo nazwano je Spectre Next Generation). Oznaczałoby to, że najbardziej zagrożeni są dostawcy usług hostingowych, gdzie z poziomu wirtualnej maszyny można dostać się do poufnych danych.

Intel w międzyczasie wydał oświadczenie, aczkolwiek nie wynika z niego zbyt wiele:

„Ochrona danych naszych klientów i zapewnienie bezpieczeństwa naszych produktów jest dla nas największym priorytetem. Nieustannie współpracujemy z klientami, partnerami, innymi producentami układów i naukowcami, aby sprawdzić i rozwiązać problemy, czego częścią jest zarezerwowanie odpowiednich oznaczeń CVE. Więcej szczegółów na temat potencjalnych problemów opublikujemy, gdy już będziemy pracować nad wdrożeniem poprawek zabezpieczeń.”

Jak podaje źródło, producent już pracuje nad odpowiednimi poprawkami, ale szczegóły na temat ich wydania jeszcze nie są znane. Najprawdopodobniej zostaną one udostępnione w dwóch turach – pierwsza miałaby zostać wdrożona już w maju, natomiast druga została zaplanowana na sierpień.

Odpowiednie łatki początkowo miałyby być wdrożone z pomocą poprawek dla systemu operacyjnego. Microsoft pierwsze aktualizacje dla Windowsa 10 najprawdopodobniej wyda 8 maja – 7 maja mija 90-dniowy termin ochronny dla jednej z luk, natomiast dzień później przypada termin najbliższej akcji Patch Tuesday. Niewykluczone, że później pojawią się też odpowiednie poprawki mikrokodu w postaci aktualizacji BIOS-u płyt głównych.

Czy procesory innych producentów również są zagrożone? W przypadku układów ARM istnieje takie prawdopodobieństwo, aczkolwiek nie wiadomo dla których modeli i w jakim stopniu. AMD podobno wie o sprawie, analizuje ataki, a w razie potrzeby wyda stosowne oświadczenie.

Aktualizacja 07.05.2018 17:50

Jak donosi niemiecki serwis Heise, Intel niestety nie jest w stanie przygotować łatek na dzień ujawnienia ich opinii publicznej (można podejrzewać, że wszystkie warianty zostały już zidentyfikowane i zostaną opisane przez Google Project Zero).

W związku z tym producent przyjął nowy termin dla swoich poprawek – te miałyby zostać przygotowane na 21 maja. Odpowiednia łatka powinna obejmować różne konfiguracje sprzętowe (prawie wszystkie procesory z rodziny Core i Xeon, a także modele Celeron i Pentium bazujące na rdzeniach Atom wydane po 2013 roku).

Później, w sierpniu Intel wyda kolejne poprawki, ale tym razem będą one skierowane do dostawców usług w chmurze. Według źródła, odpowiednia łatka miałaby zostać udostępniona 14 sierpnia.

Źródło: Heise, Guru3D, ComputerBase